Dec 29, 2013, updated at 19:48:41 (UTC)

3961

Hilfe bei Log-Analyse - Eventuell Hacker?

Hallo zusammen,
ich habe für das Logfile in Asterisk 11 auch den security-log aktiviert um per fail2ban das Logfile auswerten zu können.

Ich habe gerade in meinem Logfile komsche Einträge gefunden:

[2013-12-29 19:49:42] SECURITY[2028] res_security_log.c: SecurityEvent="ChallengeSent",EventTV="1388342982-221469",Severity="Informational",Service="SIP",EventVersion="1",AccountID="sip:201@MeineExterneIP",SessionID="0x1b04588",LocalAddress="IPV4/UDP/MeineIP/5060",RemoteAddress="IPV4/UDP/37.8.1.113/28858",Challenge="4f3e7e9c"  

Die Extension 201 gibt es nicht. Irgend jemand versucht aber anscheinen gendetwas mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.

Zum Background ich habe keine statische IP vom ISP, deshalb befindet sich der Astresik-Server in einer DMZ und auf der Firewall ist eine Portweiterleitung für die Ports 5060 und die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.

Ich bekomme im Logfile aber auch keine Security-Meldungen wie WrongPassword oder ähnliches deshlab bannt fail2ban die IP auch nicht... Was ist da los? Was probiert da jemand? Hatte er Erfolg? Ich verstehe es nicht so recht. Bitte helft mir.

Vielen Dank und schöne Grüße
xoxys

Please also mark the comments that contributed to the solution of the article

Content-Key: 225533

Url: https://administrator.de/contentid/225533

Printed on: April 19, 2024 at 03:04 o'clock

9 Comments

Latest comment

Hallo xoxys,

1. ordentliche Firewall vor's Netz (falls nicht bereits)
2. Annahme, da keine Feste IP: Da hat jemand nicht genug Fachkenntnisse und versucht auf eine alte IP von sich zu zugreifen (evtl gar kein Hack?)
3. Zurück zur Firewall und wenn ordentlich abgesichert: Kein Problem. Sobald es zu tatsächlichen Angriffen kommt sollte ja geblockt werden.

Also vor dem kompletten Netz hängt eine IPFire. Sollte passen oder? Auf dem Asterisk-Server (ist ein Debian) habe ich mit fail2ban iptables eingerichtet. In der sip.conf habe ich mit deny und permit gearbeitet um den Zugriff auf die einzelnen Extensions zusätzlich zu sichern.

Die Debian-Firewall sollte ja standardmäßig erstmal alles blockieren oder?

Die Idee mit dem Versehen glaube ich nicht... die Remote-IP commt aus Palestina. Unwarscheinlich dass der mal ne IP meines Providers hatte

Normalerweise habe ich im Asterisk-Log sonst Meldunge wie WrongPassword oder ähnliche Meldungen. Auf diese Meldungen kann dann das entsprechende Jail von fail2ban reagieren und die IP sperren. Dass zu dieser IP (37.8.1.113) absolut keine warnings oder sonstiges im Log finde macht mir irgendwie Soregn...

Grüße xoxyss

Hallo,

Die Idee mit dem Versehen glaube ich nicht... die Remote-IP commt aus Palestina.
Unwarscheinlich dass der mal ne IP meines Providers hatte

- Die kann ja auch gespooft worden sein!
- Jemand kann sich vertippt haben
- Jemand schneidet IP Verkehr mit und versucht dann umsonst zu telefonieren!?

Was für Extensions sind denn auf dem Asterisk Server?
Telefonieren die nach Hause?

Gruß
Dobby

Hey danke für deine Antwort.
Ja da hast du natürlich recht, sorry. Definiert sind:

[general]
port=5060
bindaddr=0.0.0.0
alwaysauthreject=yes
allowguest=no
srvlookup=no
canreinvite=no
language=de
localnet=192.***.***.***/255.255.255.255
nat=no
qualify=yes
register => xx

[vodafone]
type=friend
defaultuser=xxx
fromuser=xxx
authuser=xxx
host=***.sip.arcor.de
fromdomain=***.sip.arcor.de
secret=PASSWD
insecure=invite
context=xxx
qualify=yes

[100]
deny=0.0.0.0/0.0.0.0
permit=192.***.***.***/255.255.255.255
defaultuser=100
type=friend
host=dynamic
secret=PASSWD
context=xxxt
qualify=yes

Hallo ,

fail2ban ist eigentlich nicht dazu gedacht logfiles auszuwerten sondern z.B ssh login versuche zu Dokumentieren und entsprechend je nach config die IP Adresse zu sperren.

Hier wuerde ich also mal die fail2ban logs anschauen.

tail -f /var/log/fail2ban.log ( da werden dann auch die letzten eintraege gezeigt.

Fail2ban hat aber auch Bugs die genutzt werden koennen um sich ne Remotesession aufzubauen.

Gruss

die Ports 10000-20000 auf den Asterisk-Server weitergeleitet.

Ist das nicht ein bisschen zu viel? Ich kenne mich damit nicht so aus
aber weniger ist mehr oder?

mit der IP 37.8.1.113 und dem Port 28858. Dieser Port ist aber auch nicht freigegeben.

Dann hat es eben jemand versucht setze doch die ganze Region Palestina einfach mal auf
No setzen und dann einmal weiter sehen ob sich wieder jemand "meldet"!

Vorher aber bitte im Unternehmen nachfragen, nicht das dort ein potentieller Neukunde sitzt.

Gruß
Dobby

Hallo,
danke für eure Antworten. Also meines Wissens nach ist fail2ban grundlegend dazu da um Bruteforce-Atacken zu verhindern. fail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern. Da fail2ban nach der installation reichlich Basisscripte für die analyse mitliefert und diese zu 90% auf Logfileanalyse basieren würde ich mal sagen es ist dazu gedacht

In das fail2ban-Log habe ich natürlich als erstes geschaut. Problem: Das Asterisk-Log (Kopie der Zeile erster Post) gibt keine Fehlermeldung aus! Alles was ich bekomme sind "ChallengeSent" Requests und die senden regelmäßig auch meine Telefone. Normalerweise kommen direkt nach einem unautorisiertem ChallengeSent eine InvalidPassword oder andere Error-Meldung. Auf diese reagiert dann fail2ban und sperrt die IP. Da aber keine Fehlermeldung kommt hatte ich die Befürchtung, dass der fremde ChallengeSent erfolgreich gewesen sein kann.

Wenn er wirklich erfolgreich war, wundert mich nur dass ich keinen neuen registrierten peer im Asterisk sehe. Die Nummer 200 existiert ja nicht...

D.o.b.b.y die Ports 10000-20000 sind die Standart RTP-Ports von Asterisk. Ob man diese ohne weiteres ändern kann bin ich mir leider auch nicht sicher. Den kompletten IP-Bereich blocken könnte man natürlich machen. Ich wollte aber eigentlich dir Ursache für die fehlenden Error-Einträge finden... Der nächste versucht es dann eben aus Marokko dann muss ich wieder ein kompletten Bereich sperren... Das will ich eigentlich nicht.

Danke für eure Antworten

Also meines Wissens nach ist fail2ban grundlegend dazu da um Bruteforce-Atacken zu verhindern.
fail2ban wird dabie nicht nur für die reinen SSH-Logins genutzt sondern auch um z. B. Linux-Webserver abzusichern.

Es ist schon so dass es eigentlich für die Einwahlversuche via SSH gemacht worden ist, aber natürlich kann man so
ein Programm auch für andere Aufgaben hernehmen. Ist ja auch kein Beinbruch.

Wenn er wirklich erfolgreich war, wundert mich nur dass ich keinen neuen registrierten peer im Asterisk sehe.
Die Nummer 200 existiert ja nicht...

Eventuell ist das auch eine ganz banale Angelegenheit, hast Du mal einen Teil der Meldung gegooglet?

Den kompletten IP-Bereich blocken könnte man natürlich machen.

Ne schon klar nur irgend wie muss der ja nun von Eurem Netzwerk fern gehalten werden und wenn vorne an
der Firewall (Hardware) die Ports offen sind und an der Asterisk Appliance viele Ports offen sind kann es auch vorkommen
dass man dann eben öfters einmal so etwas zu sehen bekommt denn Angriffe laufen heute vollautomatisch durch das scannen
von IP Adressen und der dazugehörigen Ports.

Ich wollte aber eigentlich dir Ursache für die fehlenden Error-Einträge finden...

Eventuell hat derjenige ja auch "Erfolg" gehabt und hat die Logfiles einfach gekürzt und die eine Zeile hat er übersehen!
Man wischt ja auch die Fingerabdrücke am Tatort ab, so in der Richtung ist das zu verstehen.

Der nächste versucht es dann eben aus Marokko dann muss ich wieder ein kompletten Bereich sperren...

Nein das nicht nur wie sieht denn auf die schnelle Deine Strategie aus?
Du hast einen Logfile ohne Einträge, bzw. nur den einen den der böse Bube eventuell auch nur vergessen hat!
Was ist Dein nächster Schritt?

Das will ich eigentlich nicht.

Klar nur dann hilft auch alles weinen nicht! Denn der anderen Seite wird das herzlich egal sein wenn
sie einmal "Blut" geleckt haben machen die auch gerne weiter und wer will schon Fotos von nackigen Kindern,
gestohlene Software und eine Spam, Malware oder Virenschleuder im Unternehmen haben oder das halb Ramalla
auf eure Kosten nach Russland telefoniert und die Hamas ordert dort dann Giftgas und/oder Atombomben???

Also ich würde dafür meine VOIP PBX nicht hergeben wollen und die Fragen beantworten wenn einer der Dienste
dann noch den Verdacht äußert dass Ihr Terroristen unterstützt bleibt nur zu hoffen dass Ihr keine Spedition seit
die international Waren und Güter transportiert denn das dürfte sich danach schnell erledigt haben wenn man
auf eine der schwarzen Listen landet!

Gruß und guten Rutsch ins neue Jahr 2014
Dobby

Du hast natürlich recht. Ich wollte auch nicht weinen und dann keine Ratschläge von euch annehmen. Ich habe das IP-range erstmal blockiert und im Dialplan externe telefonate auch die benötigten Länder beschränkt. Ich werde den Fall weiter beobachten und eventuell mal die Ports etwas eingrenzen.

Laut Einzelverbindungsnachweis wurde noch nicht "fremd" telefoniert. Danke auf jeden Fall für deine Hilfe.

Dir auch einen guten Rutsch.
xoxyss

German solved Question Voice over IP Networks

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 Comment

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment